电子商务的安全性问题及对策
电子商务就是计算机网络及应用,指的是利用简单,快捷,低成本的电子通讯方式,交易双方不谋面地进行各种商贸活动。
从它的概念很明显可以看出电子商务是基于因特网的,可是因特网最明显的特性就开放性,而电子商务呢,则要求其信息的保密性。
这就要求我们有一系列的电子安全技术来确保电子商务的正常,有序,快捷的进行。
——(引自周学广《信息安全学》第二版机械工业出版社)
一、商务的安全要求。
随着电子商务的普及应用,安全性显得越来越重要。
电子商务只是在表现形式上与传统的商业不同,但着并有改变其商业属性,这就要求电子商务必须遵循商业的一般规律——安全与效率。
对于电子商务来说,其高效性已经得到人们的认可。
可是电子商务作为一种新生事物,目前世界各国都还没有形成成熟的安全运营模式,所以对其安全性的研究越来越成为人们所关注,这方面的研究也越来越重要。
电子商务本身呼吁有一个安全的环境来保证其本身的飞速发展。
——(引自古月《走近电子商务. 计算机与生活》1999,11:8~14;龚炳铮等《从信息增值到电子商务. 计算机世界》2000,11,20(D45期))
二、商务的安全威胁。
从安全和信任的角度来看,传统的交易双方是面对面的,因此很容易保证交易过程安全性和建立信任关系。
但在电子商务中,交易双方是通过网络来联系的,由于存在空间的距离,交易双方要建立起信任关系相当的困难,交易双方都面临着威胁。
这些威胁可以归结为以下几点。
——(引自李剑《信息安全导论》北京邮电大学)
(1)信息泄露
在电子上午中表现为商业的泄露,主要包括两个方面:交易双方在进行交易的内容被第三方窃取;交易一方提供给另一方的信息被第三方非法使用。
(2)信息窜改
在电子商务中表现为真实性和完整性的问题。
电子交易的信息在网上传输的过程中,可能被他人非法修改,删除或重改,这样就使信息失去了真实性和完整性。
(3)身份识别
如果不进行身份识别,第三方有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信息或盗取被假冒一方的交易成果等,进去身份识别后就可以使交易双方增加对彼此的信任度。
——(以上大部分引自《信息安全管理》作者: 影印清华大学出版社)(4)电脑病毒问题
自从有了计算机网络,电脑病毒问题就一直捆饶着广大计算机使用者。
各种新型病毒及其变种迅速增加,互联网又为各种病毒的传播提供最好的媒介,传播到计算机上,威胁着电子商务,甚至是整个网络的安全。
(5)黑客问题
随着各种应用工具的传播与应用,黑客已经越来越大众化了,在过去的岁月里只有那些电脑高手才是黑客,而如今只要那些会一点应用工具的人都能成为黑客。
要是没有足够好的安全技术,没有够“坚硬”防火墙,个人、企业的信息都
将被互联网上流传,甚至计算机都会处于瘫痪状态。
——以上6点引自《信息安全与运用原理》第四版李毅超电子工业出版社(6)金融体系安全
金融体系是商务活动的基础保证。
电子商务的支付与结算需要电子化金融体系的密切配合。
世界发达国家的金融体系相对我国来说还是比较健全的,目前我国的金融体系及其电子化水平比较落后,各种电子化系统,各种电子化方式都还没建立完善,种种金融体系问题严重阻碍着我国电子商务发展。
(7)相关法律政策的不完善
就目前我国的状况来说,电子商务的发展的步比较慢,各种相关的法律法规还不够完善,需要建立一个完善的规章制度来约束人们的电子商务行为,进而保证电子商务安全,高效的发展。
.——以上2点引自步山岳《计算机信息安全技术》高等教育出版社
三、电子商务的安全防范技术
安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。
虽然互联网开放的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制定了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
1人证技术
(1)数字签名
数字签名是指在一个数据信心中附在其后面或逻辑上与其有联系的电子形式签名。
在形式上,与传统签名差别很大,但在功能上,两者却很相近,都是用来鉴别合同的当事人表明其同意该数据信息的内容。
(2)数字信封
在大批数据加密中所使用的对称密码是随机产生的,而接收方也需要此密码才能对消息进行正确的解密。
对称密钥的传递需要加密进行,即发送方用接收方的证书(公钥)加密此对称密钥。
这样只有接收方用自己的私钥才能正确地解密此对称密钥,从而正确地解密消息。
这种加密传送密钥的方法称为数字信封。
(3)虚拟专用技术:虚拟专用网VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换。
它与信用卡交易和客户发送定单交易不同。
因为在VPN中,双方的数据通信量大得多,而且通信的双方彼此都很熟悉。
这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。
(4)证书和证书管理机构CA:证书就是一份文档,它纪录了用户的公开密钥和其他身份信息(如身份证号码或者E-mail地址),以及证书管理机构的数字签名。
证书管理机构是一个受大家信任的第三方机构。
——以上4点引《自信息安全管理之道》Mark Osborne 翻译周广辉等
2.防火墙技术
防火墙是在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。
实现防火墙技术的主要途径有:数据包过滤、应用网关和代理服务。
(1)包过滤技术:包过滤技术是在网络层中对数据包实施有选择的通过,依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP/U端口与TCP链路状态等因素来确定是否允许数据包通过。
(2)应用网关技术:应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议,即数据过滤协议,能够对数据包分析并形成相关的报告。
(3)代理服务技术:代理服务作用在应用层,用来提供应用层服务的控制。
——引自《构建信息安全保障新体系》卢新德中国经济出版社
3.Internet电子邮件的安全协议
电子邮件是Internet上主要的信息传输手段,也是EC应用的主要途径之一。
PEM 是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。
S/MIME(安全的多功能Internet电子邮件扩充)是在RFC152所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。
MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何的安全服务功能。
Internet主要的安全协议之一SSL(安全槽层)协议,是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。
该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。
UN/EDIFAC的安全措施主要是通过集成式和分离式两种途径来实现。
——引自《信息安全基础和安全策略》李建华清华大学出版社
4.信息加密技术
由于电子商务是借助INTERNET平台运作的,而INTERNET网络本身具有开放性的特点,因而安全性方面存在先天不足。
而交易双方在交易过程中,都希望信息不会被他人篡改和截取。
信息加密技术正是针对这个问题的技术解决方案。
加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。
目前,加密技术分为两类:即对称加密和非对称加密。
——引自步山岳《计算机信息安全技术》高等教育出版社
5.电子合同的法律效力
要保证电子商务的安全运营,法律的保障是不容忽略的。
而且,技术支持和组织保障最后都需要由法律来规定其效力。
合同是商业交易的内容,随着电子商务的发展,许多国家都运用法律手段来确定电子合同的效力。
美国、欧盟等有关电子商务的法律文件都对电子合同进行了规范,我国《合同法》也顺应时代发展的潮流,对电子合同这种新型合同形式也做了一些简单的规定。
6.在线支付的安全
电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。
目前采用的在线支付协议有两种:安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(SecurElectronic Transaction)协议。
——(以上引自《计算机网络与信息安全》作者:梁军北京邮电大学出版《电子商务信息安全》作者: 翁贤明浙江大学出版社)
三、结论
综上所述,电子商务安全技术虽然已经取得了一定的成绩,但是电子商务要真正成为一种主导的商务模式,还必须在安全技术上有更大的突破。
这就需要建立健全包括电子交易在内的法律法规体系;微观方面,要推动传统企业与信息业业务流程的电子化。
我国和发达国家之间的差距很大,这就要求我们密切关注电子商务的动向,探讨电子商务中存在的技术问题,加大研究和推广的力度。